《制度导向审计技术》PPT课件.ppt

制度导向审计技术,天马行空官方博客：/tmxk_docin ；QQ:1318241189；QQ群：175569632,内部控制,本 章 内 容,制度导向审计流程,控制风险评价技术,第一节 内部控制,“MOTOROLA” 作为中国最大的、最成功的外商投资企业之一，在中国已有16年的历史。摩托罗拉之所以能够成功，最重要的一点就是其有着良好的内部控制。摩托罗拉早在30年前就开始建立自己的流程管理体系，既形成了内部控制标准，也表现了公司的经营原则。该控制标准对涉及收入、采购、工资、制造、融资、财务报告、计算机系统控制、政府法规、知识产权等各项业务的流程都做了详尽的规定，而且还指出如果不按照标准做将会产生何种风险。 据摩托罗拉中国公司的财务经理、曾经的内部控制经理崔学农说，摩托罗拉一旦发现了程序上的问题，不仅要求立即予以解决，而且还要改进原来的程序，以杜绝类似的事件再次发生。所以摩托罗拉创建75年来，还从来没有发生过财务丑闻。正如摩托罗拉公司总裁加利吐克先生所说，“内部控制能够帮助我们绕过途中的陷阱，到达目的地”。,一、内部控制思想的演进,（一）内部牵制制度（20世纪40年代以前） 在20世纪30年代以前，人们通常使用内部牵制（internal check）概念，内部牵制是内部控制的最初形式，主要出于保护财产安全的目的而设计的。内部牵制的思想是以账目的相互核对为主要内容，并实行岗位分离。在古罗马时代，对会计账簿实施的“双人记账制” 。,（二）内部控制制度（20世纪40年代后）,40年代以后，科学管理思想深入审计。1949年，美国会计师协会出版的内部控制调整组织的各种要素及其对管理当局和独立职业会计师的重要性对内部控制作出了下述定义： 内部控制包括单位内部采用的机构计划和所有有关的调整方法和调整措施，旨在保护单位资产、检查会计数据的准确性和可靠性，提高经营效率，促使有关人员遵循既定的管理方针。 1972年，美国准则委员会（ASB）审计准则公告的制定者，循着证券交易法的路线进行研究和讨论，在第1号公告（SAS No.1）中，将内部控制分为内部管理控制和内部会计控制. 与内部牵制相比，内部控制制度已经不在局限于组织内部的分工，其涵盖的范围几乎涉及了单位内部所有的控制程序与方法，但内部会计控制是内部控制的核心,（三）内部控制结构（20世纪80年代后） 1988年美国注册会计师协会发布的第55号审计准则说明书提出了内部控制结构的概念：为合理保证公司实现具体目标而设立的一系列政策和程序。 由三个要素构成： 1、控制环境 2、会计系统 3、控制程序,（四）内部控制框架,1992年9月，美国注册会计师协会、国际内部注册会计师协会、财务经理协会、美国会计协会和管理会计协会共同组成的专门委员会（COSO委员会，即美国反对虚假财务报告委员会的赞助组织委员会）发布了内部控制整体框架的研究报告，提出了“内部控制框架”的概念。 COSO委员会提出，内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。,监 督 结构 基础,控 制 环 境,信 息 与 沟 通,控 制 活 动,风 险 评 估,审计准则的内部控制： 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。,二、内部控制框架理解,（一）控制环境 控制环境是指构成一个单位的氛围，提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础 。主要包括：,1、对诚信和道德价值观念的沟通和落实 2、治理层的参与程度 3、对胜任能力的重视 4、管理层的理念和经营风格 5、组织结构 6、职权与责任的分配 7、人力资源的政策与实务,（二）风险评估 风险评估指管理层识别和分析对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析,1、明确目标 2、识别风险 3、环境变化后的风险管理,企业总目标,具体目标,关键因素 与风险,目标与风险,(三)控制活动 1、对企业绩效评价 2、对信息处理的控制,（1）一般控制 组织控制 系统开发和维护控制 文件资料控制 硬件和系统软件控制 接触控制 数据、程序及网络安全控制,应用控制 输入控制 处理控制 输出控制,3、实物控制 限制接近 限制接近现金 限制接近其他易变现资产 限制接近存货 定期盘点 定期与记录核对 差异调查 记录保护 财产保险 财产记录监控,4、职责分离 企业内部的主要不相容职务间应实行如下分离： 授权批准职务与执行业务职务相分离 执行业务职务与监督审计职务相分离 执行业务职务与会计记录职务相分离 财产保管职务与会计记录职务相分离 执行业务职务与财产保管职务相分离,“抢劫一家银行，不如拥有一家银行”,（ ）为何破产巴林银行在世纪年代前是英国最大的银行之一，有超过年的历史。年期间，巴林银行新加坡分行总经理里森（ ）从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动，累积亏损超过亿美元，导致巴林银行于年月破产，最终被荷兰收购。 调查中发现：巴林银行的高层对里森在新加坡的业务并不了解，事发年内居然无人看出里森的问题。其实，巴林银行年就已经发现里森在账上有多万英镑的差额，并对此进行了几次调查，但都被里森以非常轻易的解释蒙骗过去。 造成巴林银行灾难性厄运的原因是，巴林银行缺乏职责划分的机制，里森身兼巴林新加坡分行的交易员和结算员，这使他有机会伪造存款和其他文件，把期货交易带来的损失瞒天过海，最终造成了不可收拾的局面。,“抢劫一家银行，不如拥有一家银行”,另外一个致命问题是，巴林银行的高层对财务报告不重视。巴林银行董事长 曾在年说：若以为审视更多资产负债表的数据就可以增加对一个集团的了解，那真是幼稚无知。但如果有人在年月之前，认真看一下巴林银行任何一天的资产负债表，里面都有明显记录，可以看出里森的问题。遗憾的是，巴林银行高层对财务报表的不重视，使之付出了高昂的代价。 新加坡政府在巴林银行调查报告结论中有这样一段话：“如果巴林集团在年月之前能够及时采取行动，那么他们还有可能避免崩溃。截至年月底，即使已发生重大损失，这些损失毕竟也只是最终损失的。如果说巴林的管理层直到破产之前还对这件事情一无所知，我们只能说他们一直在逃避事实。” 里森在自传中也说：“有一群人本来可以揭穿并阻止我的把戏，但他们没有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在，也不清楚他们是否对我负有什么责任。”,巴林银行倒台前夕，总部对里森所在的新加坡分部进行过一次内审。内审的报告有点耐人寻味。内审人员发现了里森兼不相容岗位于一身，但是内审做的判断是：在新加坡这么小的分部内，受内部控制的成本约束，这种兼容可能正是经营效率的表现。 这里要注意的是两点： 第一、内审人员已经发现明显的内控漏洞，即岗位不兼容。 第二、内审人员判断这种漏洞是正常的。 请问： 成本与制度 谁重？,(四)信息与沟通 1、信息 企业建立良好的信息系统，必须做到；建立良好的信息系统支持策略，信息系统与企业营运应有效的结合；选择更新信息系统的最佳时间；有很好的信息品质 2、沟通 （）我国企业现在 常用的管理文件,a.组织图 b .工作岗位说明 c .程序手册（流程图）,以下是一集团公司财务管理部门组织图：,总裁,财务总监,财务部,子公司,子公司,办事处,资金处,会计处,预算处,出 纳,资 金,财 务,报 表,预 算,财务分析,案例,作为山东齐鲁增塑剂股份有限公司的一员，笔者亲历了公司2003年3月间发生的被骗事件的始末。 案例概况：我公司2003年3月12日在销售增塑剂产品过程中，出现了销售调拨单及销售章真实，财务专用章及增值税发票系伪造的现象，导致被骗货30吨，案值24万余元的重大损失。具体手段如下： 1.一陌生客户隐匿真实情况，到公司销售公司开具了真实的产品销售调拨单，使用伪造的财务专用章及增值税专用发票，私盖印章，然后到销售处盖销售章，最后到储运车间提货，导致事故发生。 2.利用财务部在三楼办公，销售公司在一楼营业，储运发货在公司后区的劣势，经过长期预谋，使用假牌照的报废车作案。骗过了公司财务部收款开发票关、销售公司对接关、储存车间发货核对关、保卫科车辆出入口验收关、齐鲁石化股份公司门卫查证关。 思考：你认为识别虚假与信息沟通哪个容易？,（五）监控 内部控制系统需被监控。监控是由适当的人员，在适当、及时的基础下，评估控制的设计和运作情况的过程 1、持续的监控活动 2、个别评估,三、主要业务的内部控制要点,（一）账务处理控制系统,（二）材料采购控制系统,（三）材料领存控制系统,（四）产品销售控制系统,报表,账务处理控制系统流程图,原始凭证,审批,原始凭证,编审,审核,转账凭证,结算,收款凭证,付款凭证,复核,记账,汇总记账凭证,明细账,复核,记账,总账,核对,报表,记账,现金 日记账,银行 日记账,核对,审签,财务处理内部控制系流程图说明,返回,审批,采购计划2 2,采购计划3 2,签约,采购合同1 2,采购合同2 2,采购合同3 2,发票副本,验收单1,验收,验收 单2,验收单3,入库,入库单1,台账,实物 账,核对,记账凭证,记 账,材料 明细账,有关 明细账,总账,核对,清理,承付 意见书2,审核,材料采购内部控制系统流程图说明,BACK,审批,计划定额,领料单 项 2,稽核,价格表,领料单 项 3,核发,发料汇总表,记账凭证,记账,记账,实物账,材料,总账,核对,核对,记账,记账凭证,盘点,盘点表,批准,盈亏处理表 达式 2,材料领存内部控制系统流程图说明,BACK,销售计划,签约,销售合同1,销售合同2,销售合同3,审签,销售发票 （1-5） （,发票业务联,运单,托收,记账,销售,有关账,销售提货联,签发,记账,实物账,核对,核对,记账,清理,验证,发票出门联,登记簿,台账,产品销售内部控制系统流程图说明,四、内部控制的固有限制,内部控制的设计和运行受制于成本与效益原则,内部控制一般仅针对常规业务活动而设计,执行人员的素质和工作质量,串通舞弊,执行人员滥用职权或屈从于外部压力,经营环境和业务性质的变化,返回,第二节 制度导向审计流程,一、制度导向审计概述 制度导向审计是世界各国审计人员普遍采用的一种现代审计方式，它是在详查法和抽查法基础上发展起来的一种审计方法 制度导向审计是从研究和分析内部控制入手，通过复核性测试，对控制风险做出评价，在以此为基础，决定对被审计项目进行实质性程序的范围和内容，并据此修订审计计划，然后在审计计划执行过程中，形成审计意见，提出审计报告。,二、制度导向审计的基本流程,基本流程如图所示：,开始,停止,控制测试,审计计划,评估固有风险,评估控制风险,记录到了解的情况,进行了解,评估控制风险,纪录结论,终结审计阶段,中期审计阶段,评估控制风险,编制审计方案,报告,实施,计划,审计报告,是否需要进一步降低,是,否,开始,了解控制,纪录了解情况,评估控制风险并纪录结论,设计实质性程序,评估控制风险并纪录结论,实施额外测试,某些认定需进一步降低吗,可取得的有效的证据,否,否,第一步通常询问客户的相关人员,确定审计程序的步骤,控制风险评估流程分解图,第二步 评估控制风险,第三步得出结果,第四步设计出实质性程序,三、内部控制的了解、测试与评价,（一）了解内部控制并初步评估控制风险水平 审计人员通常可实施以下程序： (1)询问被审计单位的有关人员，了解他们的工作内容及向谁汇报。 (2)查阅内部控制或管理手册； (3)内部控制生成的文件和记录； (4)观察被审计单位的业务活动和内部控制的运行情况； (5)选择若干具有代表性的交易和事项进行“穿行测试”；所谓“穿行测试”，即追查几笔通过会计系统的交易：,从不同的层面了解和评估内部控制,内部控制要素 整体层面 业务流程层面 控制环境 风险评估过程 对控制的监督 与报告相关的 信息系统和沟通 控制活动,在初步评价时，审计人员应遵行稳健性原则： 当存在以下三种情况的任何一种，注册会计师可以评估控制风险为最高水平,内部控制政策和程序不可能与特定认定相关（例如，客户根本没有对认定进行控制）,附加测试将取得的证据不可能证明控制风险会有所降低（测试可能会证明对认定的控制是软弱的）,取得附加证据以证明控制风险水平并非最有效的审计途径（实质性程序比控制测试更易执行）,审计人员在了解内部控制之后应根据以下两个因素决定是否继续考虑内部控制问题：,继续对内部控制进行测试是否可能缩减实质性程序的工作量 继续对内部控制进行测试所花费的成本是否会低于可能获得的好处,（二）控制测试,1控制测试的种类 2同步控制测试是在注册会计师取得对内部控制制度的了解时，也同时提供了有关控制政策和程序是否有效的证据 3追加控制测试是为了进一步降低注册会计师对控制风险估计水平而进行的测试 ，同时，必须考虑是否符合成本效益原则 4计划控制测试是在选用较低控制风险估计水平法下必须执行的测试，它是为了支持注册会计师计划的实质性程序水平 5控制测试范围,（三）评估控制风险水平,控制风险（Control Risk,简称CR）：某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性,其水平的高低取决于两个方面：一是内部控制的健全程度和合理性；二是内部控制的有效执行。内部控制是否有效执行须通过控制测试来检查和评价,其可信赖程度分为： 高信赖程度 中信赖程度 低信赖程度,控制风险评价表,控制风险评估结果对审计程序的影响可分为三种情况： （1）控制风险为100，审计人员没有进行控制测试或控制测试表明内部控制完全不可靠，可以推定控制风险为最高水平。在此情况下，对相关的报表认定应完全依靠实质性程序（包括经济业务测试、实质性分析程序和直接测试账户余额等方法）。 （2）控制风险略低于100，审计人员获得证据表明内部控制有些可靠，但没有进行控制测试或控制测试表明不能进一步降低风险水平。在此情况下，对相关的报表认定应主要依靠实质性程序。 （3）控制风险远低于100，审计人员获得证据表明内部控制非常可靠，而且控制测试表明可以进一步降低风险水平。在此情况下，可以较多地减少实质性程序的时间和数量。,（四）设计实质性程序以发现重大潜在错报,注册会计师对内部控制考虑的结果是评估控制风险，该评估将在对交易类别或账户余额的不同认定进行规划实质性程序时运用 ：,与存在相关的实质性程序,与完整性相关的实质性程序,与所有损益表账户审计目标相关的实质性程序,实质性程序的时间安排,点击返回,第三节 控制风险评价技术,一、控制风险的评价过程 （一）控制风险评价的概念 评价控制风险,是评价内部控制在防止或者发现和更正财务报表里的重要错报和漏报的有效程度的过程,确定该项认定可能发生哪些潜在的错报或漏报 确定哪些控制可以防止或者发现和更正这些错报或漏报 执行控制测试，获取这些控制是否设计适当和有效执行的证据 （如果控制风险为高水平，此步骤不需要） 评价所获得的证据 评价该项认定的控制风险,（二）控制风险评价的过程 评价步骤 ：,在确定控制风险之后，我们根据控制风险水平就可以确定进一步实质性程序的内容了，并通过审计风险模型的运用来控制检查风险水平。评价结果对实质性程序的影响如